Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

CVE-2024-40766: The Patch Fixed the Bug. Nobody Fixed the Configuration., (Tue, Jun 23rd)

2 minute de lecture

Mis à jour :

Sécurisation post-patch : Au-delà de la simple mise à jour des firewalls SonicWall

L’application des correctifs logiciels ne suffit plus à garantir la sécurité des firewalls SonicWall. Les groupes de ransomware (Akira, Fog) exploitent activement des configurations obsolètes sur des équipements pourtant officiellement « à jour ». Le problème réside dans le maintien d’un accès persistant pour les attaquants via des comptes hérités et des paramètres d’authentification mal configurés.

Vulnérabilités majeures

  • CVE-2024-40766 : Vulnérabilité de contrôle d’accès défectueux dans SonicOS affectant les générations 5, 6 et 7, permettant un accès non autorisé à l’interface de gestion et au service SSLVPN (Score CVSS 9.3).
  • CVE-2024-12802 : Contournement de l’authentification (MFA) sur les appliances SonicWall SSLVPN, particulièrement critique sur la génération 6 où la simple mise à jour du firmware est insuffisante.

Points clés de l’exposition

  • Comptes obsolètes : Présence persistante de comptes locaux (inutilisés ou orphelins) créés bien avant les correctifs, souvent avec des identifiants compromis.
  • Configuration LDAP permissive : Le groupe par défaut « LDAP Default User Group » accorde souvent des permissions excessives (accès VPN ou administration) à tout utilisateur authentifié via LDAP.
  • Exposition du portail virtuel : Le « Virtual Office Portal » est souvent accessible publiquement sans restriction, permettant aux attaquants d’enregistrer leurs propres jetons MFA et de neutraliser cette barrière.
  • Session persistante : Les correctifs ne déconnectent pas les sessions existantes, permettant aux attaquants de maintenir une présence active pendant des jours.
  • Fin de vie (Gen 6) : Depuis avril 2026, la génération 6 n’est plus supportée, rendant toute vulnérabilité future irrémédiable.

Recommandations de durcissement

  1. Nettoyage des comptes : Auditer les comptes locaux, supprimer les comptes orphelins (inconnus de l’AD) et effectuer une rotation complète des mots de passe (y compris les comptes de service LDAP).
  2. Restreindre l’accès au portail : Limiter l’accès au « Virtual Office Portal » aux réseaux internes ou aux sources approuvées uniquement.
  3. Correction LDAP : Créer un groupe local dédié sans privilèges pour le « Default LDAP User Group » et assigner les droits VPN de manière explicite et restrictive.
  4. Filtrage réseau : Implémenter des filtres ASN/Geo-IP sur le service SSLVPN pour bloquer les connexions provenant de fournisseurs VPS/Hébergeurs, souvent utilisés par les attaquants.
  5. Surveillance active :
    • Alerter sur les sessions dépassant 24 heures.
    • Surveiller les logs pour le type de session sess="CLI", signe potentiel d’automatisation malveillante.
    • Détecter les authentifications multiples et rapides provenant d’une même adresse IP.
  6. Migration : Planifier impérativement le remplacement des équipements de génération 6 par du matériel supporté.
  7. Scripting (Gen 6) : Pour les appareils de Gen 6, appliquer les six étapes manuelles de re-configuration LDAP fournies par SonicWall (ou utiliser le script d’automatisation officiel) pour contrer le contournement MFA.

Source

Vous pourriez aimer